En este estudio se diseña una herramienta que permite evaluar el estado actual de vulnerabilidad informática que tiene una pequeña y mediana empresa (PYME) a partir de la medición del nivel de seguridad de su software. Se definen y describen las componentes de la herramienta que, apoyado en la base de datos de vulnerabilidades y exposiciones comunes (CVE), ofrece un mecanismo para la evaluación eficaz del riesgo cibernético y un esquema de recomendaciones. Como resultado se muestra la ejecución de cada una de las componentes de la herramienta a través del estudio de una PYME del sector de tecnologia e innovación en Colombia. Se evalúa todo el software comercial en sus diferentes versiones y se sugieren líneas de acción según el nivel de riesgo calculado. Se concluye que la herramienta propuesta permite suplir las etapas iniciales de búsqueda, reporte y recomendaciones ante vulnerabilidades de riesgo cibernético, basado en un trabajo sistemático, permanente y exhaustivo, más de orden preventivo que correctivo.